septembre 16th, 2014

Le virus pour imprimante existe

Posté on 16 Sep 2014 at 10:51

Encore un « Epic Fail » de l’Internet des objets, affirme Michael Jordon, de l’entreprise Britannique Contextis. La preuve ? l’installation d’une version du jeux vidéo Doom dans le firmware d’une imprimante Canon Pixma. Ce modèle, vendu aux environs d’une cinquantaine d’euros, est un périphérique largement répandu, destiné au marché grand public. Son principal avantage (sa principale faiblesse aussi) est son accès sans fil, si séduisant pour les « filophobes »… et les hackers.

La faille de sécurité peut, après coup, sembler évidente. Une fois le firmware extrait de la machine, l’équipe de Contextis s’est intéressé aux séquences de caractères redondants et en a extrait un graphe… lequel a montré que la fréquence de certains d’entre eux était fortement élevée. Même un débutant en cryptanalyse (ou un lecteur assidu des œuvres d’Ange Albertini) comprend que cette absence de distribution uniforme est le signe d’une mauvaise maîtrise des procédés de chiffrement. Le « codage » du firmware Canon n’est rien d’autre qu’un simple Xor. C’est là la seule protection, la signature du fichier (au format Srec) n’est même pas contrôlée. Son remplacement par un autre programme, Doom en l’occurrence (mais ce pourrait être un vecteur d’espionnage plus inquisiteur), ne provoque strictement aucune alerte.

En règle générale, les mauvaises pratiques font école au sein d’une équipe de développement. Et il n’est pas rare que les micrologiciels destinés à des machines d’entrée de gamme se retrouvent, en partie, sur des équipements professionnels, protégés par les mêmes mécanismes aussi peu résistants. Seule une bonne campagne de fuzzing sur les firmwares de quelques OEM lèvera ce doute.

Jusqu’à présent, les attaques visant les imprimantes relevaient plus du déni de service et de la tentative de destruction matérielle (dérèglement du cycle de chauffage de certaines laser notamment). Longtemps, donc, le « virus imprimante » a été qu’un mythe, qui a débuté dans les années 80 avec l’apparition d’une légende urbaine, celle du code « caché dans le buffer d’impression ». Désormais, ce n’est plus un simple buffer de 4 ko qui est offert aux attaquants potentiels, mais l’espace d’une mémoire flash conséquente (plusieurs Mo au moins, voir plus encore si l’on compte le tampon d’impression qui gère les files de documents). Une mémoire flash qui contient le firmware de la machine et qui n’est qu’exceptionnellement remis à jour par son propriétaire, qui ne fait jamais l’objet d’alertes tonitruantes dans la presse en général, et qui, accessoirement, dispose d’une liaison Ethernet sans fil ou Bluetooth capable d’émettre discrètement, à qui veut bien l’entendre, le contenu de tout ce qui y est imprimé… même lorsque les cartouches d’encre sont vides.

Le réseau télécom Allemand miné par la NSA et le GCHQ

Posté on 16 Sep 2014 at 10:21

Les réseaux des opérateurs Allemands Deutsche Telekom et Netcologne (opérateur d’infrastructure fibre) sont compromis par les services de renseignement US, avec la collaboration des services Britanniques du GCHQ révèle le magazine Der Spiegel. Et ce ne sont pas les seuls. Cette intrusion n’est qu’une des pièces d’une formidable machine baptisé « Carte au trésor », chargée de cartographier le réseau Internet.

Plusieurs points de routage BGP appartenant aux opérateurs Allemands figurent sur cette carte, comme nous l’apprend ce document issu des « fichiers Snowden », que l’on peut télécharger depuis les ressources de Cryptome.

La découverte de « Carte au trésor » se place dans la droite ligne du piratage des serveurs d’un autre opérateur d’infrastructure Allemand, la société Stellar qui, dans le courant du mois de mars, avait appris que la « No Such Agency » était capable d’intercepter les communications transitant sur son réseau dans le but de localiser précisément la position géographique de chaque abonné utilisant ce service. Un reportage vidéo, accessible via l’article de Der Spiegel, précise que les barbouzes américaines vont jusqu’à surveiller les faits et gestes de plusieurs techniciens Allemands hautement qualifiés, et possèdent même les mots de passe de plusieurs serveurs assurant un rôle vital dans le routage des flux IP de ce prestataire de service.

En survolant très rapidement les pages de ces « fichiers Snowden », l’on apprend que Carte au Trésor peut effectuer (page 10) plus de 16 à 18 millions d’opérations traceroute par jour, d’établir des liens de routeur à routeur pour remonter jusqu’à l’adresse IP cible et d’enregistrer l’empreinte du système d’exploitation et des logiciels installés sur ladite machine-cible (page 11). Deux niveaux de recherche rapide sont actuellement déployés. Le niveau de recherche le plus « détaillé » est obtenu grâce à des serveurs compromis, situés dans des datacenters de pays étrangers, à l’insu de leurs propriétaires (13 covered servers in unwitting data centers around the globe précise la page 12 du document). Ces serveurs piratés sont situés partout dans le monde. En Asie –Malaisie, Singapour, Taïwan, Chine (2 centres piratés précise même l’auteur de la présentation) Indonésie, Thaïlande et Inde.

En Europe, sont compromis par des serveurs zombifiés des opérateurs de Pologne, Russie, Allemagne, Ukraine, Lituanie et Danemark.

La liste mentionne également des centres de collecte d’information en Afrique du Sud, en Argentine et surtout au Brésil, pays déjà désigné par les fichiers Snowden comme très largement sous-mariné par les espions de la NSA, qui visent en premier chef les grandes entreprises d’exploitation pétrolière. Certains autres exemples utilisent des numéros d’AS du réseau Sita situé en Europe et relayant le trafic IP v4 et v6 provenant d’autres opérateurs dont certains opérateurs Français.

Zero Day contre Zero Day : L’Ammyy Admin dada

Posté on 16 Sep 2014 at 10:16

Ammyy Admin est un véritable cheval de Troie que d’authentiquement faux techniciens Microsoft tentent de faire installer par leurs victimes. Ces prétendus MS-Hotliner par téléphone sont particulièrement actifs (y compris auprès des usagers Français), et débutent invariablement leur discours par un « Bonjour, ici le Centre de Support Technique de Microsoft, il nous est apparu que votre ordinateur a un problème… ». Comme ce genre d’attaque nécessite une sacrée « user interaction » pour que la charge virale soit installée sur le poste de la victime, Ammyy Admin n’est jamais classée dans la catégorie des attaques critiques. Et pourtant… le nombre des victimes s’accroît chaque jour.

Généralement, lorsque l’un de ces escrocs (peut-on parler de « droper humain » ?) tombe sur un véritable cyber-nerd ou un technicien authentique, il devient à son tour le jouet de l’humour geek de sa prétendue victime. Les rôles sont inversés… mais là s’arrête l’histoire.

Mais sans exploit, la fête est moins folle. Un spécialiste sécurité et analyseur de malwares, Matthew Weeks, a décidé de contre-attaquer en développant un exploit Metasploit visant précisément Ammyy Admin. N’est-ce pas là le comble de la fourberie que de sous-mariner un cheval de Troie et infecter avec un Zero Day le véhicule d’un injecteur de Zero Days ?

Contrairement aux autres velléités de contre-attaque virale déjà évoquées par le passé, un exploit ciblant un malware ne touche que l’usager actif du malware. La morale est sauve, Matthew Weeks ne sera pas renommé pour avoir infligé une myxomatose numérique à l’ensemble du clapier Internet. Seule ombre au tableau, l’efficacité de cet exploit reste encore à prouver… puisqu’aucun escroc du gang Ammyy Admin n’a osé composer le numéro de téléphone de Weeks.

Hack : Gmail, 5 M de quoi ?

Posté on 16 Sep 2014 at 10:05

5 millions de couples « Identité/mot de passe » appartenant à des comptes Gmail seraient diffusés par des réseaux gris des pays de l’Est. Encore une faille SQL ? Que nenni ! Ces identités auraient été moissonnées puis filtrées au fil du temps, durant plus de 3 ans, pour être ensuite concaténées. En conséquence de quoi, certaines de ces identités portent une date-fraîcheur qui sent franchement l’aigre. Le taux de déchet serait important et les « bonnes » créances ne constituerait pas plus de 30 % selon certains experts, 2% selon d’autres. Tout comme l’affaire des photos dénudées de certaines starlettes retrouvée sur 4Chan, il y a là plus de bruit médiatique que de véritable hack du siècle.

Publicité

MORE_POSTS

Archives

septembre 2014
lun mar mer jeu ven sam dim
« Août   Oct »
1234567
891011121314
15161718192021
22232425262728
2930